Определение каталога и службы каталогов

Цель лекции

Лекция 1. ВВЕДЕНИЕ В ACTIVE DIRECTORY

Цель курса

Предисловие

В крупных современных компаниях, имеющих разветвленную организационную структуру и неоднородную инфраструктуру, возникают проблемы с использованием информационных ресурсов, которые не являются прозрачными с точки зрения информационной безопасности. При расширении сети приходится управлять все большим количеством объектов ресурсов, поэтому наличие средства организации и упрощения доступа к ресурсам сетевой компьютерной системы становится насущной необходимостью. Служба каталога Microsoft Active Directory предоставляет такие средства, а также обеспечивает прозрачное использование информационных ресурсов за счет разграничения прав пользователей. В данном документе излагается общий методологический подход к реализации проектов по внедрению единой инфраструктуры Active Directory, начиная с теоретических основ службы каталога и заканчивая типовыми проблемами, возникающими в ходе реализации таких проектов и сформулированными на основании имеющегося опыта.

Ознакомление с методикой планирования проектов по внедрению единой службы каталогов Microsoft Active Directory. Описываемый методологический подход создан на основе практики по реализации проектов данной направленности.

Предварительные знания: курс «Основы организации операционных систем Microsoft Windows».

Автор: Чижиков Дмитрий Викторович

Краткая аннотация: Определение и назначение служб каталогов, их основные функции и задачи. Службы каталогов — предвестники Microsoft Active Directory. Ключевые преимущества службы Active Directory.

Ключевые слова: каталог (directory), служба каталогов (directory service), Active Directory (AD), Lightweight Directory Access Protocol (LDAP).

Указать потребность в использовании единого инструмента для организации и упрощения доступа к информационным ресурсам. Дать общее представление о каталоге и службе каталогов, привести их назначение, основные функции и задачи, сформулировать преимущества использования Active Directory.

Вне зависимости от топологии сети компании, реальной инфраструктуры и организационной структуры географически распределенных филиалов, а также от имеющейся в компании разнородной информационной среды, существует общая методология развертывания и применения службы Active Directory.

Сначала мы должны определить, что такое служба каталогов вообще, каковы ее цели и задачи.

Каталог (directory) — это информационный ресурс, используемый для хранения информации о каком-либо объекте [1]. Например, телефонный справочник (каталог телефонных номеров) содержит информацию об абонентах телефонной сети. В файловой системе каталоги хранят информацию о файлах.

В распределенной вычислительной системе или в компьютерной сети общего пользования (например, Интернет) имеется множество объектов — серверы, базы данных, приложения, принтеры и др. Пользователи хотят иметь доступ к каждому из таких объектов и работать с ними, а администраторы — управлять правилами использования этих объектов.

В данном документе термины «каталог» и «служба каталогов» относятся к каталогам, размещаемым в частных сетях и сетях общего пользования. Служба каталогов отличается от каталога тем, что она не только является информационным ресурсом, но также представляет собой услугу, обеспечивающую поиск и доставку пользователю необходимой ему информации [2].

Служба каталогов (directory service) — сетевая служба, которая идентифицирует все ресурсы сети и делает их доступными пользователям. Служба каталогов централизованно хранит всю информацию, требуемую для использования и управления этими объектами, упрощая процесс поиска и управления данными ресурсами. Служба каталогов работает как главный коммутатор сетевой ОС. Она управляет идентификацией и отношениями между распределенными ресурсами и позволяет им работать вместе [4].

Active Directory (AD) — служба каталогов, поставляемая с Microsoft Windows начиная с Windows 2000 Server. Active Directory содержит каталог, в котором хранится информация о сетевых ресурсах и службы, предоставляющие доступ к этой информации.

Active Directory — это не первая и не единственная служба каталогов. В современных сетях используется несколько служб каталогов и стандартов [3], [13]:

• Х.500 и Directory Access Protocol (DAP). X.500 — спецификация Internet Standards Organization (ISO), определяющая, как должны быть структурированы глобальные каталоги. Х.500 также описывает применение DAP для обеспечения взаимодействия между клиентами и серверами каталогов;
• Lightweight Directory Access Protocol (LDAP). Протокол LDAP был разработан в ответ на критические замечания по спецификации DAP, которая оказалась слишком сложной для применения в большинстве случаев. Спецификация LDAP быстро стала стандартным протоколом каталогов в Интернете;
• Novell Directory Services (NDS). Служба каталогов для сетей Novell NetWare, совместимая со стандартом Х.500;
• Windows NT и SAM. Ядром Windows NT NOS (Network Operating System — сетевая операционная система) является база данных SAM (Security Accounts Management — управление безопасными учетными записями). Она представляет центральную базу данных учетных записей, включающую все учетные записи пользователей и групп в домене. Эти учетные записи используются для управления доступом к совместным ресурсам, принадлежащим любому серверу в домене Windows NT.

Служба Active Directory, в отличие от перечисленных служб каталогов, является защищенной, распределенной, сегментированной и реплицируемой, что позволяет обеспечить следующие возможности [4]:

• упрощенное администрирование;
• масштабируемость;
• поддержку открытых стандартов;
• поддержку стандартных форматов имен.

С помощью Active Directory осуществляется централизованное управление пользователями, группами, общими папками и сетевыми ресурсами, администрирование среды пользователя и программного обеспечения средствами групповой политики.